Les éditeurs de logiciels sécurité redoutent les nécromanciens
Trois éditeurs complémentaires ont tenu une conférence sur l'état des menaces visant le SI.
PublicitéOlivier Mouly, corporate & retail manager de F-Secure, Ravy Truchot, président de SkyRecon, et Laurent Boutet, ingénieur avant-vente chez Stonesoft, ont tenu une réunion commune à Paris le 4 septembre 2008 pour présenter sur l'état des menaces visant le SI et la manière d'y répondre. « Les exploits d'adolescents cherchant à pénétrer un système pour la beauté du geste ont quasiment disparu : désormais, la tendance est à l'activité criminelle avec un objectif clairement financier » a tout d'abord rappelé Olivier Mouly. Alors que les utilisateurs sont encore fréquemment peu conscients de la valeur des données contenues sur leurs postes de travail, la principale menace n'est plus destructive, celle des virus traditionnels, mais consiste bien en outils visant soit à prendre le contrôle des PC (et en faire des zombies) soit à capter des données stockées (mots de passe enregistrés dans le navigateur, adresses de courriels...). Olivier Mouly raconte : « Aujourd'hui, sur le marché noir, les mots de passe de jeux en ligne coûtent plus chers que ceux des banques car une opération frauduleuse est moins risquée et plus rentable. Nous avons ainsi vu des crackers (mal) jouer avec des comptes de poker en ligne de victimes pour récupérer leurs mises. » « La prise de contrôle de PC par des bot.net pour en faire des zombies est la grande tendance » confirme Ravy Truchot. Il ajoute : « Mais il ne faut pas oublier la perte d'informations via celle de supports physiques non-cryptés (CD-ROM, clés USB...) ou via des vers. Nous avons ainsi vu les données de 8 millions de clients de la chaîne Best Western de la période 2007-2008 récupérées grâce à un virus spécialement conçu pour cette opération et donc absent des bases de signatures. » L'une des technologies employées pour bloquer les virus inconnus et les autres techniques de captation de données est de verrouiller les droits beaucoup plus finement que ce que permet un système d'exploitation. « On peut ainsi n'autoriser l'ouverture des fichiers PST que par le seul Outlook à l'exclusion de tout autre logiciel » indique Ravy Truchot. Face à l'imprudence ou l'inconscience des utilisateurs, il est également possible de s'attacher aux flux réseaux eux-mêmes. Laurent Boutet mentionne : « on peut très bien interdire les flux HTTPS à l'exclusion de certains sites identifiés : un pirate va en effet privilégier de tels flux cryptés dont l'analyse est délicate par les outils de sécurité. » Mais il y a alors une grosse difficulté qu'il concède volontiers : « pour combattre l'anomalie, il faut connaître la normalité ! », c'est à dire ce qui doit être autorisé car conforme à l'usage souhaité des postes de travail ou des serveurs. Simplifier l'administration : un rêve inaccessible ? La complexité des menaces implique de multiplier les produits de sécurité complémentaires, comme, par exemple, ceux des trois sociétés présentes... Selon le mot de Laurent Boutet : « ce n'est pas parce que vous mettez une alarme que vous supprimez votre porte blindée. » Et même si les fonctions de chaque type de produits ont tendance à s'étendre et à mordre sur celles des produits voisins, le grand rêve des administrateurs de parc reste de pouvoir piloter l'ensemble des sécurités ensemble grâce à un « SIM, security information manager ». Cela suppose de définir, par delà les divisions entre fournisseurs, un certain nombre de normes d'API communes. Mais, si les techniciens arrivent à se parler, on ne peut apparemment pas en dire autant des directions des éditeurs. « Chaque éditeur veut que ce soit sa console qui priment sur les autres » ont regretté en un bel ensemble les trois représentants d'éditeurs. Mais une console unique ne serait-elle pas à son tour un point de fragilité facile à pirater pour démonter toute la sécurité d'un SI ? « L'objectif est surtout de centraliser la remontée d'alertes » concède Laurent Boutet.
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire